Skip to main content

Centric, PinkRoccade en de bewerkersovereenkomst

| IB&P | ,

Een bewerkersovereenkomst (BWO). Ook wel de schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker, waarin afspraken worden vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. De bewerkersovereenkomst vormt een belangrijk onderdeel binnen de informatiebeveiliging van de gemeente. Maar wat moet er in deze overeenkomst staan? Vanuit de Baseline Informatiebeveiliging Gemeenten (BIG),

is het de wens om concreet te specificeren welke maatregelen de bewerker dient te implementeren/na te leven op het gebied van informatiebeveiliging. In de praktijk zijn er echter verschillende varianten uitgewerkt. Zo hebben Centric en PinkRoccade in overleg met de gebruikersverenigingen en de IBD beide een format opgesteld en heeft de IBD zelf ook een BWO opgesteld. Maar welke variant is nu het meest geschikt?

Uitgangspunten

Om de veilige verwerking van persoonsgegevens te waarborgen dienen de verantwoordelijke en de bewerker duidelijke afspraken te maken wat betreft de taken en de verplichtingen van de bewerker richting de verantwoordelijke. De manier waarop dit wordt afgesproken staat niet vast, maar er is wel in de Wet bescherming persoonsgegevens beschreven wat er minimaal in de bewerkersovereenkomst dient te staan. De IBD heeft onlangs een interne notitie geschreven, waarin zij adviseert om in ieder geval afspraken te maken over de volgende zaken:

  1. De waarborgen die de leverancier biedt ten aanzien van technische en organisatorische maatregelen en de manier waarop de gemeente dit kan controleren.
  2. De wijze waarop de gemeente wordt geïnformeerd bij een beveiligingsincident.
  3. De aansprakelijkheid bij schade doordat in strijd met de wet wordt gehandeld.
  4. De mate waarin de dienstverlening voldoet aan de wettelijke eisen.

Punt drie en vier worden doorgaans goed beschreven in de verschillende BWO’s. De eerste twee punten worden daarentegen nogal verschillend verwoord als je kijkt naar de drie formats van de IBD, Centric en PinkRoccade.

Zoek de verschillen

Het grootste verschil tussen de BWO’s zit in de mate van detail. De IBD heeft een model opgesteld dat erg volledig en uitgebreid is. Zo zijn onder andere alle relevante BIG-maatregelen opgenomen in de bijlage. Zoals de IBD ook aangeeft is dit uiteraard het ‘ideaalplaatje’. Kortom wil je het maximale eruit halen dan kun je al deze maatregelen hanteren, maar je hebt als gemeente ook alle ruimte om hiervan af te wijken, mits je maar voldoet aan de minimale eisen, namelijk bovenstaande vier punten. De formats van Centric en PinkRoccade zijn daarentegen een stuk minder uitgebreid. Zo wordt in de BWO van Centric niet nader toegelicht wat er wordt bedoeld met ‘passende technische en organisatorische maatregelen’. Tevens wordt de wijze waarop de gemeente dient te worden geïnformeerd bij een beveiligingsincident per BWO verschillend beschreven.

In alle drie de formats staat dat de bewerker de verantwoordelijke moet informeren over beveiligingsincidenten en (mogelijke) datalekken. Echter wordt alleen in het format van de IBD beschreven dat dit binnen 24 uur na de eerste ontdekking dient te gebeuren. Hiernaast beschrijft de IBD dat de bewerker een gedetailleerd logboek moet bijhouden van alle inbreuken op de beveiliging. Evenals de maatregelen die in het vervolg op dergelijke inbreuken zijn genomen, waar bewerker op het eerste verzoek van de verantwoordelijke inzage in geeft. Dit staat niet in de andere twee formats opgenomen.

Tot slot beschrijven Centric en PinkRoccade enkel dat de partijen elkaar volledige medewerking dienen te verlenen bij een noodzakelijke melding richting de Autoriteit Persoonsgegevens (AP) en indien nodig aan de betrokkenen. De IBD gaat hier nog dieper op in en vermeld dat dit op zo kort mogelijke termijn dient te gebeuren.  Zijn er overeenkomsten te vinden in de verschillende formats? Jazeker. In alle overeenkomsten staat vermeld dat de bewerker het ‘doen van meldingen aan de toezichthouder(s)’ overlaat aan de verantwoordelijke.

Assurance en certificering

Tot slot, is het belangrijk dat in de BWO certificering en assurance is opgenomen. Certificering betreft het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op een bepaald gebied. Een voorbeeld hiervan is de ISO27001. Het doel van assurance is om derde partijen, die vertrouwen op een dienst of product, de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. In dit geval is dat normenkader de BIG. De BWO van de IBD is daarin dus wel compleet (zie bijlage 2). Maar de vraag is of je als gemeente dit ‘ideaalplaatje’ wilt hanteren. Zoals de IBD zelf ook aangeeft kunnen de maatregelen uit de BIG ook worden aangepast.

Kortom; je moet als gemeente het lef hebben de bewerkersovereenkomst (IBD BWO) naar eigen smaak, binnen de kaders van bovenstaande vier punten, aan te passen en daarbij het liefst te differentiëren tussen verschillende typen bewerkers.

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Wat betekent de AI-verordening voor informatiebeveiliging bij gemeenten?

Het gebruik van AI neemt in rap tempo toe. Wat betekent dat voor je informatiebeveiliging als gemeente?
Verder lezen

De 5 meest gemaakte fouten in verwerkersovereenkomsten

: Een van de belangrijkste eisen uit de AVG is het afsluiten van een verwerkersovereenkomst wanneer je persoonsgegevens door een externe partij laat verwerken. In de praktijk gaat dat echter nog vaak mis. Verwerkersovereenkomsten zijn te vaag, onv…
Verder lezen

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …
Verder lezen

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…
Verder lezen

Het algoritmeregister: Hoe gemeenten algoritmes verantwoord inzetten

Steeds meer gemeenten gebruiken algoritmes om hun werk efficiënter te maken. Handig, maar het brengt ook risico’s met zich mee voor privacy, veiligheid en transparantie. Daarom is er sinds 2022 een landelijk algoritmeregister. In deze blog lees je…
Verder lezen

Waarom een DPIA onmisbaar is binnen gemeentelijke projecten

Vanuit de AVG en BIO moet je als gemeente allerlei (verplichte) maatregelen nemen. Zo moet je bij gegevensverwerkingen met een hoog privacyrisico een Data Protection Impact Assessment (DPIA) uitvoeren. In deze blog lees je wat een DPIA precies is …
Verder lezen